Non l’inizio, ma il coronamento di un percorso. L’Agenzia nazionale per la cybersicurezza (Acn) è pronta a partire. E completa un lavoro iniziato anni fa dall’intelligence italiana per mettere al sicuro le infrastrutture critiche dagli attacchi cibernetici di attori ostili. Quali sono le priorità di intervento della nuova struttura inaugurata dal governo Draghi? E quali sono gli errori da evitare?

Una prima risposta è stata data al convegno dell’Ispi “Sicurezza cibernetica e sfide per l’Italia: un nuovo ecosistema tra pubblico e privato?”. Il dibattito, introdotto dal presidente Giampiero Massolo e con la partecipazione del sottosegretario di Stato con delega all’Intelligence Franco Gabrielli, del presidente di Leonardo Luciano Carta e della vicepresidente della Luiss Paola Severino insieme a Fabio Rugge, direttore dell’Osservatorio Cybersecurity Ispi, ha messo a fuoco le sfide che l’agenzia, coadiuvata dal comparto intelligence, dovrà affrontare nei prossimi mesi.

Sarà un percorso condiviso con il Parlamento, ha rassicurato Gabrielli in apertura, e anche per questo motivo il Dl cybersecurity all’esame delle camere prevede un continuo coinvolgimento del Copasir, il comitato di controllo dell’intelligence e della sicurezza presieduto da Adolfo Urso. Soprattutto, sarà un percorso che rispetterà le competenze già in essere nel settore della cybersecurity ricoperte dagli altri apparati che se ne occupano, dall’intelligence alla Polizia di Stato fino alla magistratura.

All’origine della costituzione dell’Acn, voluta fortemente dal premier Mario Draghi, c’è proprio l’idea di rimettere ordine nelle competenze dell’intelligence, chiamata in questi anni a svolgere un ruolo di supplenza nell’assicurare la difesa cibernetica delle infrastrutture sensibili.

È stato fatto, ad esempio, con la costruzione del Perimetro di sicurezza nazionale cibernetica inaugurato con una delle prime leggi del governo Conte bis e ora pronto a entrare in azione, ricorda il presidente di Leonardo Carta, già direttore dell’Aise (Agenzia informazioni e sicurezza esterna), “questo decreto è il risultato di un percorso avviato dalla direttiva europea “Nis” del 2016, anno in cui la Nato ha riconosciuto il cyberspace come dominio operativo al pari di quelli terrestre, marittimo e aereo”.

Il tempismo dell’intervento non è casuale. La pandemia ha allargato la platea digitale e di conseguenza esposto un numero molto maggiore di persone e aziende al rischio di violazioni cibernetiche. I dati della Polizia postale fotografano una vera e propria impennata. Nel 2019 il Centro nazionale per la protezione delle infrastrutture critiche ha registrato 147 denunce di attacchi cyber, nel 2020 ce ne sono state 509.

Un’emergenza che richiede misure urgenti a tutela delle aziende strategiche, dalle pmi ai grandi campioni nazionali. “Riteniamo che un elemento di criticità da non sottovalutare sia rappresentato dal transito dei dati aziendali sensibili verso i cloud o altre infrastrutture tecnologiche riceventi, perché le attuali caratteristiche della rete internet non garantiscono che un dato digitale, che ha origine in Italia e destinazione sul medesimo territorio, durante il transito non “sconfini””.

Di qui la proposta: “Sarebbe importante prevedere un meccanismo di protezione del dato tramite un algoritmo di cifratura nazionale certificato dall’Autorità nazionale per la sicurezza che gestisce e distribuisce le necessarie chiavi di protezione”. L’obiettivo, prosegue, è “rafforzare il perimetro di difesa nazionale da potenziali esfiltrazioni”.

La sicurezza del sistema Paese, però, non si garantisce solo in difesa. C’è necessariamente una componente “offensiva” che non può essere affidata né alla nuova agenzia né all’autorità giudiziaria, ma all’intelligence. Magari prevedendo nuove forme di cooperazione internazionale, sulla scia di quelle già esistenti fra procure. “Di fronte ad approcci così differenti, anche sul piano legislativo, ritengo che sarebbe necessario un sistema normativo armonizzato per consentire agli Stati di reagire tempestivamente ed efficacemente”, dice Carta.

Oltre a rafforzare la “resilienza” cyber delle infrastrutture sensibili, l’Agenzia svolgerà un secondo ruolo non meno importante. Sarà il centro italiano di coordinamento con il Centro di competenza europeo per la cybersecurity con sede a Bucarest. Ovvero farà da “filtro” per gli investimenti dei fondi europei nel digitale e nella sicurezza cyber. Ma anche un “acceleratore” per le start-up italiane del settore. “Serve un approccio, serio, costruttivo, trasparente con il mondo privato – spiega Gabrielli – La battaglia si può intraprendere e immaginare di vincerla solo se si crea una sinergia fra pubblico e privato”. Al fianco delle imprese, un interlocutore chiave della struttura sarà il mondo universitario, già protagonista negli ultimi dieci anni di una proficua collaborazione con l’intelligence italiana nella promozione di una cultura della sicurezza cyber.

“È un obiettivo che ci deve vedere tutti allineati, pubblico, privato, Paesi diversi” spiega Severino. “L’agenzia costituisce il vertice di una piramide fatta di tanti interventi normativi negli ultimi anni. La crescita degli attacchi cibernetici è la prova della necessità di un sistema unitario per la difesa cyber”. Una sfida da vincere anche sul piano culturale, a partire dalle università. “Bisogna dire ai cittadini italiani che ogni volta che accedono a un mezzo di comunicazione digitale fanno i conti con un rischio. Dobbiamo estendere la cultura della riservatezza, di un uso adeguato dei sistemi di comunicazione”.